Ponuda s popustom na više licenci
Sigurnost računala Black Basta Ransomware iskorištava nove taktike...

Black Basta Ransomware iskorištava nove taktike društvenog inženjeringa

Do Mezo. Sigurnost računala. godine
Prevedi na:
Hrvatski

Grupa Black Basta Ransomware, poznata po svojim strategijama koje se razvijaju, usvojila je nove metode isporuke korisnih sadržaja od listopada 2024. Uz svoje tradicionalne kampanje ransomwarea, sada distribuiraju prijetnje kao što su Zbot i DarkGate, ilustrirajući proračunat pomak u njihovom pristupu metama kompromitiranja.

Susret društvenog inženjeringa s bombardiranjem e-poštom

Black Basta koristi bombardiranje e-poštom kao početni korak za nadjačavanje ciljeva. Ova taktika uključuje pretplatu žrtvine e-pošte na brojne mailing liste, učinkovito utapajući legitimnu komunikaciju u bujici neželjene pošte. Nakon bombardiranja e-poštom, napadači dopiru izravno do pogođenih korisnika, iskorištavajući zbrku u svoju korist.

Lažno predstavljanje na poznatim platformama

Značajna taktika primijećena u kolovozu 2024. uključuje napadače koji se maskiraju u IT osoblje ili pomoćno osoblje na platformama kao što je Microsoft Teams. Predstavljajući se kao insajderi od povjerenja, oni uvjeravaju mete da se uključe u daljnju interakciju. U nekim slučajevima, napadači čak lažno predstavljaju stvarno IT osoblje iz ciljane organizacije, povećavajući svoj kredibilitet.

Iskorištavanje alata za daljinski pristup za kompromis

Žrtve su često prevarene da instaliraju legitiman softver za daljinski pristup kao što je AnyDesk, TeamViewer ili Microsoftov Quick Assist. Jednom instalirani, ovi alati napadačima daju kontrolu nad sustavom. Microsoftov tim za sigurnost prati kibernetičku kriminalnu skupinu koja iskorištava Quick Assist pod identifikatorom Storm-1811.

Obrnuti granate i prijeteći QR kodovi

Osim alata za daljinski pristup, napadači koriste OpenSSH klijent za uspostavljanje obrnutih ljuski, što im omogućuje kontrolu kompromitiranih sustava. Druga metoda uključuje slanje zlonamjernih QR kodova putem chat platformi pod krinkom dodavanja pouzdanog mobilnog uređaja. Ovi QR kodovi vjerojatno preusmjeravaju žrtve na štetnu infrastrukturu ili kradu njihove vjerodajnice.

Isporuka korisnog tereta: krađa vjerodajnica i naknadni napadi

Nakon što je pristup uspostavljen, napadači postavljaju dodatna korisna opterećenja, kao što su prilagođeni skupljači vjerodajnica, Zbot ili DarkGate. Ovi alati im omogućuju da prikupe vjerodajnice, nabroje žrtvino okruženje i pripreme teren za daljnje napade. Krađa VPN konfiguracijskih datoteka, u kombinaciji s kompromitiranim vjerodajnicama, također može omogućiti napadačima da zaobiđu multifaktorsku provjeru autentičnosti i izravan pristup ciljnoj mreži.

Podrijetlo i arsenal Black Basta

Black Basta pojavio se kao samostalna grupa 2022. nakon raspuštanja Conti ransomware grupe. U početku se oslanjajući na QakBot botnet, grupa se od tada diverzificirala, integrirajući sofisticirane tehnike društvenog inženjeringa u svoje operacije.

Njihov arsenal zlonamjernog softvera uključuje:

  • KNOTWRAP : dropper samo za memoriju napisan u C/C++, sposoban za izvršavanje sadržaja u memoriji.
  • KNOTROCK : .NET pomoćni program koji se koristi za postavljanje samog ransomwarea.
  • DAWNCRY : Još jedan dropper samo za memoriju koji dekriptira i izvršava ugrađene resurse pomoću tvrdo kodiranog ključa.
  • PORTYARD : tunel koji se povezuje s poslužiteljima za naredbu i kontrolu (C2) pomoću prilagođenog binarnog protokola.
  • COGSCAN : Alat za izviđanje temeljen na .NET-u za enumeraciju mrežnih hostova.

Hibridni pristup isporuci prijetnji

Evolucija Black Baste naglašava njihov prijelaz s oslanjanja na botnetove na hibridni model koji kombinira tehničku sofisticiranost s društvenim inženjeringom. Ova promjena naglašava njihovu prilagodljivost i odlučnost da se infiltriraju u ciljane mreže, što predstavlja stalni izazov obrani kibernetičke sigurnosti.

Budite oprezni protiv Black Basta

Kako bi se suprotstavile takvim prijetnjama, organizacije moraju dati prioritet svijesti o kibernetičkoj sigurnosti, implementirati robusne filtre e-pošte i kontinuirano educirati zaposlenike o opasnostima neželjene komunikacije i taktika lažnog predstavljanja. Učinkovite mjere ključne su za ublažavanje rizika koje predstavlja ova skupina prijetnji koja se stalno prilagođava.

Učitavam...